Poważny incydent
Incydent, który wywiera rzeczywisty niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych producenta, używanych do opracowywania, produkcji lub utrzymania produktu z elementami cyfrowymi. Wykrycie takiego incydentu zobowiązuje producenta do powiadomienia właściwego CSIRT i ENISA w ciągu 24 godzin.
Cytowania źródeł
Podstawa prawna
Artykuł 3(39) Rozporządzenia (UE) 2024/2847 odwołuje się do definicji «incydentu» z Art. 6(6) Dyrektywy (UE) 2022/2555 (NIS 2).
Terminy powiadomień (Art. 14(1))
| Termin | Wymaganie |
|---|---|
| 24 godziny | Wczesne ostrzeżenie do CSIRT i ENISA |
| 72 godziny | Powiadomienie o incydencie z wstępną oceną powagi |
| 1 miesiąc | Końcowy raport z pełną analizą i środkami zaradczymi |
Rozróżnienie: poważny incydent vs. aktywnie eksploatowana podatność
| Typ | System powiadamiania |
|---|---|
| Poważny incydent | Art. 14(1) — CSIRT + ENISA + ewentualnie inne organy |
| Aktywnie eksploatowana podatność | Art. 13(6) — ENISA (baza danych podatności) |
Kanały powiadamiania
- Powiadomienie trafia do CSIRT państwa członkowskiego, w którym ma siedzibę producent
- ENISA otrzymuje powiadomienia bezpośrednio za pośrednictwem Europejskiej Bazy Danych Podatności i proponowanego centralnego systemu zgłaszania (CVSS)